ITanalyze

در مقوله امنیت رایانه‌ای و فناوری اطلاعات نیز ـ مانند سایر زمینه‌ها ـ سیاست‌های دولت نقش بسیار مهمی ایفا می‌کند. با این‌حال در این مورد باید با احتیاط اظهارنظر کرد، چراکه یک چارچوب عمومی قوانین هرچند می‌تواند امنیت رایانه‌ای را تقویت کند، اما اشکالاتی که در اثر مقررات نادرست دولتی به‌وجود می‌آید بیش از مزایای چنین مقرراتی است.

فناوری به‌سرعت درحال تغییر است و تهدیدات جدید با چنان سرعتی انتشار می‌یابند که مقررات دولتی به‌راحتی می‌توانند تبدیل به موانعی برای ارایه سریع پاسخ‌های مبتکرانه شوند. بنابراین بهترین راه این است که میان معیارهای تقنینی و غیرتقنینی یک نقطه تعادل پیدا کنیم.
برای دست‌یابی به چنین تعادلی، سیاست‌گذاران باید به برخی ویژگی‌های ذاتی و منحصر به‌فرد رایانه توجه کنند. در مقایسه با فناوری‌های اطلاعات و ارتباطات پیشین، فضای سایبر(مجازی) یک فضای غیرمتمرکز است. بخشی از قدرت اینترنت ناشی از این حقیقت است که فاقد مرزبان است و بیشتر کارایی آن در مرزهای شبکه است تا در مرکز آن. سیاست‌های امنیت سایبر دولت باید این ویژگی‌ها را مدنظر قرار دهند.
دولت‌ها معمولا سیستم رایانه‌ای خاص خود را دارند؛ از جمله رایانه‌هایی که برای امنیت ملی، خدمات اضطراری، بهداشت و سایر عملکردهای ضروری مورد استفاده قرار می‌گیرند، اما بسیاری از سیستم‌های رایانه‌ای سازمان‌های دولتی وابسته به همان نرم‌افزارها و سخت‌افزارهایی هستند که توسط شرکت‌های خصوصی طراحی و ساخته شده‌اند و لذا مسئله امنیت در آن‌ها یکی از مسایل قابل توجه است. بنابراین مسؤولیت امنیت این سیستم‌ها میان دولت و بخش خصوصی تقسیم شده است و همچنین مشخص شده که دولت باید برای مجازات و پیشگیری از انجام حملات به سیستم‌های بخش خصوصی، مثل سیستم‌های دولتی از قدرت قوانین حقوق و جزا کمک بگیرد.
ایجاد یک محیط قابل اطمینان در فضای سایبر نیازمند تطبیق قوانین و سیاست‌های دولتی سایر زمینه‌ها بر حوزه امنیت سایبر است. این زمینه‌ها شامل حمایت از مصرف‌کننده، خصوصی ماندن داده‌ها و ارتباطات، حقوق مالکیت معنوی و چارچوب تجارت الکترونیکی است. در دنیای بدون اینترنت، قانون برای معاملات تجاری و مصرف‌کنندگان حمایت‌هایی ایجاد می‌کند. قسمت اعظم این قوانین در حوزه فضای سایبر نیز قابل اعمال هستند، اما کشورهایی که به‌دنبال گسترش فناوری اطلاعات و ارتباطات (ICT) هستند باید این مسئله را بررسی کنند که آیا در قوانین آن‌ها خلائی وجود دارد که مانع ایجاد اعتماد لازم برای افزایش امنیت فضای سایبر شود یا خیر. در حقیقت کشورهایی که علاقه‌مند به گسترش تجارت الکترونیکی هستند ممکن است دریابند که قوانین آن‌ها در مورد خدمات مالی، مالکیت سایبر و حمایت از مصرف‌کننده از اعتماد یا پشتیبانی لازم برای تعاملات خارج از دنیای اینترنت برخوردار نیست. اصلاح قوانین دنیای سایبر ممکن است به‌عنوان بخشی از اصلاحات روی قوانین کلی‌تر انجام شود. (برگرفته از کتاب مرجع «راهنمای امنیت فناوری اطلاعات»، انتشارات شورای عالی اطلاع‌رسانی)
اما پس از این مقدمه و تاکید بر نقش حیاتی و اعتمادساز تامین امنیت فضای مجازی در هر کشور، به نقد لایحه جرایم رایانهای کشور که چندسالی است در مجلس شورای اسلامی در انتظار تصویب است، می‌پردازیم.
به‌نظر می‌رسد در تهیه لایحه جرایم رایانه‌ای، موارد متعددی که باعث جامعیت و قابل اجرا بودن یک قانون است لحاظ نشده که این امر باعث می‌شود لایحه مزبور در صورت تصویب، نتواند در پیشگیری و مجازات عوامل حقیقی آزار و اذیت‌های رایانه‌ای چندان موثر باشد.
در ادامه فهرست عناوینی که در ادامه این مکتوب در خصوص پیش‌نویس تهیه شده، مورد اشاره قرار گرفته‌اند و پس از آن نیز موارد مذکور بهصورت مشروح بررسی می‌شوند.
1. فقدان تعریف مشخص از حیطه و شمول قانون 2. عدم دسته‌بندی افعال مجرمانه و تفکیک آن‌ها از مجازات‌ها 3. عدم تناسب مجازات با معیارهای معقول تعیین‌کننده حدود مجازات 4. بی‌توجهی به عوامل تاثیرگذار در شدت تقصیر/قصور متولیان امنیت 5. عدم اشاره به برخی از مهم‌ترین عناوین آزار و اذیت رایانه‌ای به‌عنوان مصادیق جرم 6. مشکلات قانونی پیگرد الکترونیکی؛ در صورت تصویب این پیش‌نویس 7. سکوت در برابر سوء‌استفاده از سامانه‌ها برای تهاجم به سامانه‌های شخص ثالث 8. لزوم توجه به عدم اختلال در خدمات 9. همگن نبودن مواد مختلف در تعیین مصادیق 10. آیین‌نامه‌های مبهم 11. برخی نکات موردی
1. فقدان تعریف مشخص از حیطه و شمول قانون

به‌طور کلی طبق الگوهای سرآمدی امنیت، برای تدوین قانون در حیطه‌هایی که کاربرد فناوری
رایانه‌ای باعث ناکارآمد شدن سیستم قانونی مورد استفاده می‌شود، یک تقسیم‌بندی عمده برای جرایم رایانه‌ای در نظر گرفته می‌شود که عبارت است از:
a. جرایمی که به‌وسیله رایانه تسهیل می‌شوند؛ و
b. جرایمی که توسعه و کاربرد فناوری رایانه‌ای و شبکه باعث خلق مفاهیم جدید و به‌وجود آمدن آن‌ها شده است.
بنابراین، برای تدوین نظام جامع و مانع قانونی به‌منظور افزایش اعتماد در فضای رایانه‌ای، هم باید قوانین مختص این فضا را به‌وجود آورد و هم باید قوانین جزایی را که از قبل وجود داشته به‌گونه‌ای اصلاح کرد که جرایم تسهیل شده به‌وسیله رایانه را نیز دربر بگیرد. لذا نباید در قانون جرایم رایانه‌ای به‌دنبال جمع‌آوری تمام اقدامات مجرمانه در هر زمینه‌ای بود و باید قسمتی از آن را به اصلاح قوانین دیگر واگذارد. در هر صورت، به‌نظر می‌رسد لازم باشد که در مقدمه متن پیشنهادی، حیطه قانون و شمول آن (و در صورت صلاح‌دید، حتی مواردی که این قانون به آن‌ها مربوط نمی‌شود نیز) به‌وضوح مورد اشاره قرار گیرند. مثلا به‌نظر می‌رسد ماده 25 از جنس قانون دیگری برای الزامات نگهداری داده‌هاست که باید شامل موارد دیگری (نظیر مسؤولیت تهیه صحیح نسخه پشتیبان و غیره و همچنین مجازات‌های عدم عملکرد صحیح در خصوص موارد ذکر شده) نیز بشود.
به‌دلیل عدم رعایت اصل مذکور، در موادی از این پیش‌نویس تداخل‌هایی با سایر قوانین مانند حقوق شهروندی و قانون مدنی وجود دارد؛ مانند مواردی که در فصل چهارم و فصل پنجم بازتعریف شده، درحالی که طبق قوانین حال حاضر نیز کلیه این موارد از افعال مجرمانه محسوب می شوند و تنها از طریق رایانه، کیفیت انجام آن‌ها متفاوت است.
2. عدم دسته‌بندی افعال مجرمانه و تفکیک آن‌ها از مجازات‌ها

طبق الگوهای سرآمدی، به‌دلیل ماهیت پیچیده و کثرت افعال مجرمانه در فناوری‌های نوین مانند فناوری اطلاعات و ارتباطات، برای روشن بودن چارچوب و ساده‌تر شدن اجرای قانون، معمولا ابتدا در یک فصل مصادیق افعال مجرمانه دسته‌بندی و تشریح می‌شوند و سپس مجازات‌های مربوطه در فصل بعد آن متناظر با دسته‌بندی انجام شده و سایر عوامل تعیین‌کننده میزان مجازات (که در بند چهارم همین مکتوب مورد اشاره قرار گرفته‌اند) تعیین می‌شوند.
این دسته‌بندی علاوه بر ساده کردن کار تطبیق فعل انجام شده با مصادیق افعال مجرمانه (خصوصا در مواردی‌که فعل انجام شده با بیش از یک مصداق تطابق دارد)، کار اصلاح قانون متناسب با پیشرفت و تغییر کاربرد فناوری را نیز تسهیل می‌کند.
3. عدم تناسب مجازات با معیارهای معقول تعیین‌کننده حدود مجازات

مواردی چون قصد و نیت فرد مهاجم، آگاهی قبلی برای تخریب، سطح حساسیت سامانه هدف، میزان تقصیر یا قصور متولیان حفاظت از سامانه میانی (توضیحات بیشتر در این مورد در بند ششم همین مکتوب آمده است)، میزان تقصیر یا قصور متولیان حفاظت از سامانه هدف، میزان خرابی‌های مستقیم به بار آمد و همچنین میزان آسیب‌ها و ضررهایی که در مراحل بعد به قربانی/قربانیان فعل مجرمانه وارد می‌شود (که گاهی اشخاص ثالث حقیقی و حقوقی را هم دربر می‌گیرد)، همه از مواردی هستند که عرفا مسؤولیت آن‌ها برعهده مجرم و معاونان اوست و لذا در تعیین مجازات، توجه صرف به‌عنوان مصداق تشخیص داده شده از فعل مجرمانه کافی نیست و باید این موارد نیز در نظر گرفته شوند. این مورد نیز در قوانین کشورهای توسعه‌یافته که به اقتضای کاربرد فناوری پیش از کشورهای درحال توسعه، زودتر به ضرورت وجود قوانینی از این دست پی برده‌اند به چشم می‌خورد.
4. بی‌توجهی به عوامل تاثیرگذار در شدت تقصیر/قصور متولیان امنیت

زمانی‌که یک تهاجم موفقیت‌آمیز (با هر درجه‌ای از موفقیت) صورت می‌گیرد، همه مسؤولیت خرابی‌های به بار آمده بر گردن مهاجم نیست، بلکه مسؤولان، سیاست‌گذاران و مدیران سامانه هدف نیز در آن شریکند؛ چراکه معمولا با عدم تدبیر به موقع اقدامات لازم برای جلوگیری از نفوذ، راه را برای تهاجم آسان باز گذاشته‌اند. اما میزان این شراکت بسته به عوامل مختلف (از جمله میزان پیچیدگی روش مورد استفاده برای نفوذ، میزان استحکام تدابیر امنیتی سامانه هدف و غیره) متغیر است.
هرچند در ماده 5 پیش‌نویس مورد بحث به این مورد اشاره ضمنی شده است، اما باز هم بدون توجه به نوع حمله، قصد تخریب، میزان خسارت‌های وارده و سایر موارد موثر و صرفا به‌دلیل «اعطای دسترسی» به مهاجم، مجازات مشخصی برای خاطیان در نظر گرفته شده است؛ درحالی‌که اولا عوامل موثر بر مجازات باید به شرح گفته شده باشند و ثانیا، ممکن است فرد خاطی از طریقی غیر از «اعطای دسترسی» به انجام حمله توسط مهاجم کمک کرده باشد.
5. عدم اشاره به برخی از مهم‌ترین عناوین آزار رایانه‌ای به‌عنوان مصادیق جرم

در ادامه برخی از عناوین به‌عنوان نمونه مورد اشاره و توضیح مختصر قرار گرفته‌اند که در پی می‌آیند.
الف. نرم‌افزارهای دارای «درب مخفی»: ایجاد تعمدی درب مخفی در نرم‌افزار توسط نویسنده نرم‌افزار؛ جمع‌آوری اطلاعات کاربران به‌صورت خودکار توسط نرم‌افزار و انتشار آزادانه آن روی وب. این نرم‌افزارها معمولا در پایگاه‌های وب با کارکرد دیگر خود (مثلا یک بازی رایانه‌ای) معرفی می‌شوند، اما پس از دریافت و به اجرا در آمدن توسط کاربران، کارکرد مخرب خود را نیز - غالبا بدون اطلاع کاربران - انجام می‌دهند؛ بنابراین خود کاربر در آسیب وارده مقصر است، اما از طرف دیگر، از چنین کارکردی توسط نرم‌افزار اطلاع قبلی نداشته است.
ب. کرم‌های اینترنتی که معمولا برای انتشار خود از اطلاعات یافته شده روی رایانه‌های قربانی سوءاستفاده می‌کنند و به‌عنوان مثال، از طرف برخی آدرس‌های یافته شده در سامانه قربانی، برای برخی دیگر از آدرس‌های همان فهرست، نامه الکترونیکی ارسال می‌کنند، واضح است که در چنین موردی، مقصر اصلی پدیدآورنده اولیه کرم اینترنتی است.
ج. کلاهبرداری اینترنتی؛ مثلا طراحی یک صفحه ورود اطلاعات مشابه صفحه ورود اطلاعات سامانه‌های پرداخت الکترونیکی (مثلا سامانه‌های برخی بانک‌های داخلی) و فریب کاربران برای ورود اطلاعات کارت‌های خرید/پرداخت الکترونیکی و سوءاستفاده از اطلاعات جمع‌آوری شده. در این خصوص، خود کاربر با رضایت کامل اقدام به ورود اطلاعات در پایگاه فرد کلاهبردار کرده، اما ابتدا توسط او فریب خورده است و پس از ورود اطلاعات نیز این کاربر است که قربانی این کلاهبرداری می‌شود.
د. ارسال هرزنامه که عبارت است از ارسال نامه‌های تبلیغاتی/با مصارف دیگر به فهرست‌های بزرگی از آدرس‌های پست الکترونیکی، خصوصا در شرایطی که دریافت‌کنندگان تمایلی به دریافت آن نامه‌ها ندارند. این عمل در قوانین کلیه کشورهای پیشرو در صنعت فناوری اطلاعات و ارتباطات از جرایم سنگین محسوب می‌شود.
6. مشکلات قانونی پیگرد الکترونیکی

در قسمت‌های مختلفی از قانون (در صورت تصویب پیش‌نویس مذکور) مواردی آمده که می‌تواند کاربردهای مشروع، قانونی و بعضا مورد نیاز برای جلوگیری از وقوع جرایم رایانه‌ای را دچار مشکل کند که در ادامه به‌طور مختصر به برخی از آن‌ها اشاره شده است:
الف. شنود الکترونیکی که برای نظارت و ارتقای امنیت سامانه‌های الکترونیکی جزء اولیه‌ترین نیازهاست، اما طبق این پیش‌نویس، انجام این کار پس از تصویب این پیش‌نویس، جرم خواهد بود.
ب. معامله ابزارهای تست ضریب امنیت که می‌توانند کارکرد دوگانه داشته باشند. این خصوصیت تمام ابزارها و نرم‌افزارهای امنیت الکترونیکی است که هم می‌توانند توسط راهبران امنیت و در جهت ارتقای امنیت شبکه و محیط به‌‌کار روند و هم می‌توانند توسط نفوذگران و در جهت تخریب سیستم‌ها مورد استفاده قرار گیرند.
ج. گستراندن دام برای کسب اطلاعات از روش کار مهاجم (honeypot) که این پیش‌نویس در خصوص قانونی و مشروع بودن آن مسکوت است، اما طبق موادی از آن، می‌توان این کار را فعل مجرمانه برشمرد.
د. نفوذ اخلاقی که به درخواست یک سازمان از یک تیم/شرکت امنیتی برای نفوذ به سیستم‌ها جهت ارزیابی استحکام اقدامات دفاعی سازمان انجام می‌شود.
7. سکوت در برابر سوءاستفاده از سامانه‌ها برای تهاجم به سامانه‌های شخص ثالث

در جرایم رایانه‌ای، امکان سوءاستفاده از سامانه رایانه‌ای یک سازمان برای تهاجم و یا تسهیل تهاجم به سامانه یک سازمان ثالث نیز وجود دارد. در این ‌صورت آیا سازمانی که برای حمله به سازمان ثالث از سامانه‌های رایانه‌ای آن سوءاستفاده شده، به‌علت تقصیر یا قصور مستحق مجازات است یا خیر؟ طبق الگوهای سرآمدی دنیا، در این مورد سازمانی که از سامانه آن برای تهاجم سوءاستفاده شده، مسؤولیت حفظ امنیت آن را به عهده داشته و حتی در صورت عدم آگاهی نیز، بخشی از مسؤولیت با آن است.
8. لزوم توجه به عدم اختلال در خدمات

عدم ایجاد اختلال در خدمات، اصلی است که همواره باید در پیگردهای قانونی جرایم الکترونیکی مدنظر قرار گیرد. در غیر این‌صورت، ممکن است کاری که مهاجم موفق به انجام آن نشده (از کار انداختن ارایه خدمات)، توسط ضابطین قضایی و در جهت اجرای قانون صورت پذیرد. گاهی لطمات این از کارافتادگی خدمت، می‌تواند بسیار بیش از اصل تهاجم برای سازمان قربانی خسارت به بار بیاورد.
9. همگن نبودن مواد مختلف در تعیین مصادیق

در تعریف مصادیق جرم، این پیش‌نویس در برخی مواد آنچنان پیش‌رفته که سعی کرده کوچک‌ترین جزییات را برای تعریف مصداق فعل مجرمانه برشمارد (نمونه: مواد فصل چهارم) و در مواردی نیز به ‌کلی تعیین مصادیق را به آیین‌نامه‌هایی که جزء یک نام از آن‌ها وجود ندارد موکول کرده است.
یکی از مواردی که در صورت رعایت بندهای 1 و 2 این مکتوب عاید قانونگذار می‌شود، همگن بودن مواد مختلف از جهات مختلف است که در عمل، اجرای قانون را به‌میزان قابل توجهی تسهیل می‌کند.
10. آیین‌نامه‌های مبهم

آیین‌نامه‌های متعددی که این قانون به آن‌ها ارجاع دارد و هیچ ‌یک حتی در حد پیش‌نویس هم آماده نشده‌اند، بسیار حیاتی هستند و به همین دلیل لازم است پیشنهاددهندگان محترم حداقل محورهای اصلی این آیین‌نامه‌ها و نیز حیطه، شمول و کلیات بندهای آن‌ها را نیز پیشنهاد دهند.
11. برخی نکات موردی

نکاتی نیز در خصوص جامع و مانع بودن این پیش‌نویس وجود دارد که چند نمونه از آن در پی آمده است:
الف. مواد 1 و 2 با بند اول ماده 3 همپوشانی قابل توجهی دارند.
ب. ماده 5: «چنانچه ماموران دولتی که... به آن‌ها آموزش لازم داده شده ...». اگر سازمانی مورد تهاجم قرار گرفت که متولیان امنیت آن، اصولا آموزش‌های لازم امنیتی را ندیده باشند، تکلیف چیست؟ آیا صرف اینکه از نظر فنی ناآگاه بوده‌اند، دلیل موجهی برای پوشش سهل‌انگاری انجام شده در تدبیر اقدامات دفاعی است که متن پیشنهادی قانون در قبال آن مسکوت است؟
ج. ماده 7: ممکن است کسی بتواند از کارت‌ها یا تراشه‌های مجعول استفاده صحیح کند؛ بنابراین عمومیت کلمه «استفاده» در این بند، می‌تواند این بند قانون را در عمل و هنگام تفسیر، با مشکلاتی مواجه سازد.
نتیجه‌گیری

به‌نظر می‌رسد با عنایت به موارد فوق، لزوم بازنگری در لایحه پیشنهادی بیش از پیش آشکار شده باشد. امید است مسؤولان و تصمیم‌گیرندگان و کلیه افرادی که به هر نحو در تصویب این قانون موثر هستند، برای تصویب یک قانون جامع و قابل اجرا در خصوص جرایم رایانه‌ای، نکات کارشناسی ذکر شده را مدنظر داشته باشند.